Recopila registros de seguridad de ServiceNow
Descripción general
Este analizador extrae datos de eventos de seguridad de los registros JSON de ServiceNow y asigna los campos relevantes a la UDM. Controla varios tipos de eventos, como accesos y cambios de permisos, y propaga la información del usuario principal o de destino, las direcciones IP y los metadatos, como los detalles del proveedor y del producto.
Antes de comenzar
- Asegúrate de tener una instancia de Google SecOps.
- Asegúrate de tener acceso con privilegios a ServiceNow Security.
Configura un feed en Google SecOps para transferir los registros de seguridad de ServiceNow
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de seguridad de ServiceNow).
- Selecciona Webhook como el Tipo de origen.
- Selecciona ServiceNow Security como el Tipo de registro.
- Haz clic en Siguiente.
- Opcional: Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como
\n
. - Espacio de nombres de recursos: Es el espacio de nombres de recursos.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como
- Haz clic en Siguiente.
- Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
- Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
- Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
- En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
- Haz clic en Listo.
Crea una clave de API para el feed de webhook
Ve a consola de Google Cloud > Credenciales.
Haz clic en Crear credenciales y selecciona Clave de API.
Restringe el acceso de la clave de API a la API de Google Security Operations.
Especifica la URL del extremo
- En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.
Habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL.
Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Reemplaza lo siguiente:
ENDPOINT_URL
: Es la URL del extremo del feed.API_KEY
: Es la clave de API para autenticar en Google SecOps.SECRET
: Es la clave secreta que generaste para autenticar el feed.
Configura el webhook en ServiceNow
- Accede a ServiceNow Security con una cuenta con privilegios.
- Ve a Configuración > Supervisión > Conexiones.
- Haz clic en Agregar .
- Selecciona Webhook.
- Especifica valores para los siguientes parámetros:
- Nombre: Proporciona un nombre descriptivo para el webhook (por ejemplo, Google SecOps).
- URL: Ingresa el ENDPOINT_URL de SecOps de Google con API_KEY y SECRET.
- Haz clic en Guardar para completar la configuración del webhook.
Asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
created_by | target.user.userid | Se asigna a target.user.userid si snc_user está vacío. |
evento | metadata.product_event_type | Se asigna directamente desde el campo de registro sin procesar "event". |
event_created | metadata.event_timestamp.seconds | Se convierte a segundos a partir del campo de registro sin procesar "event_created" con el filtro date . |
ip_address | principal.ip | Se asigna directamente desde el campo de registro sin procesar "ip_address" si no está vacío. |
snc_user | target.user.userid | Se asigna directamente desde el campo de registro sin procesar "snc_user" si no está vacío. |
usuario | principal.user.userid | Se asigna directamente desde el campo de registro sin procesar "user" si no está vacío o "nulo". |
extensions.auth.type | Establece el valor en "MACHINE" si el campo event es "Failed Login", "SNC Login", "Admin Login" o "Impersonation". |
|
metadata.event_type | Establece el valor en "USER_LOGIN" si el campo event es "Failed Login", "SNC Login", "Admin Login" o "Impersonation". Establece en "USER_CHANGE_PERMISSIONS" si el campo event es "Elevación de seguridad". |
|
metadata.log_type | Está codificado de forma fija en “SERVICENOW_SECURITY”. | |
metadata.product_name | Está codificado de forma fija en “SERVICENOW_SECURITY”. | |
metadata.vendor_name | Se codifica de forma fija en "SERVICENOW". | |
principal.user.userid | Se establece en “UNKNOWN” si el campo user está vacío o es “nulo”. |